Katalog CVE

CVE-2026-58370

WysokieCVSS 8.1
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.55%

Percentyl 42 — wyżej niż 42% wszystkich znanych CVE

Streszczenie

Podatność w Woodpecker przed wersją 3.15.0 pozwala na ominięcie listy ApprovalAllowedUsers poprzez manipulację polem pipeline.Author. Dla integracji z GitLab, autor zatwierdzenia (commit author) jest pobierany z danych webhooka, które mogą być kontrolowane przez atakującego. Użytkownik otwierający merge request z forka może ustawić nazwę autora tak, aby pasowała do wpisu na liście ApprovalAllowedUsers, co powoduje, że pipeline uruchamia się bez wymaganej zgody.

Ocena ryzyka

Ryzyko polega na naruszeniu granicy bezpieczeństwa fork-approval, umożliwiając wykonanie kontrolowanych przez atakującego kroków pipeline'u na agencie Woodpecker oraz kradzież sekretów CI udostępnionych w trakcie uruchomienia.

Rekomendacja

Należy niezwłocznie zaktualizować Woodpecker do wersji 3.15.0 lub nowszej. Jeśli aktualizacja nie jest możliwa, należy rozważyć tymczasowe wyłączenie integracji z GitLab lub ograniczenie dostępu do forków.

Oryginalny opis (angielski, źródło NVD)

Woodpecker before 3.15.0 matches the ApprovalAllowedUsers bypass list against pipeline.Author. For the GitLab forge driver, pipeline.Author is populated from the git commit author name (commit.author.name) carried in the webhook payload, which is attacker-controlled and not verified by GitLab. A user who can open a merge request from a fork can set the commit author name to match an entry in ApprovalAllowedUsers, causing needsApproval to return false so the pipeline runs without the required approval. This defeats the fork-approval security boundary and allows execution of attacker-controlled pipeline steps on a Woodpecker agent and exfiltration of CI secrets exposed to the run. Other built-in forge drivers (Gitea, Forgejo, GitHub, Bitbucket) derive pipeline.Author from the forge-validated sender/actor identity and are not affected.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS